Патч Microsoft обходит стороной инфицированные машины

[Евгений Малинин]

Последний набор патчей от Microsoft содержит обновление для ядра операционной системы, которое написано таким образом, чтобы не устанавливаться на машины, пораженные руткитами. На этот шаг компания пошла, чтобы избежать повторения февральской ситуации с патчем для ядра ОС, который после установки вызывал появление "голубого экрана смерти" и приводил к бесконечной перезагрузке машин под управлением Windows XP.

 

До того, как было установлено, что сбой вызван трудноопределяемым руткитом Tdss, компании Microsoft пришлось выслушать немало критики. Решив подстраховаться, софтверный гигант встроил в новый патч для ядра ОС специальную технологию, предотвращающую его установку на скомпрометированные ПК.

 

В комментариях к бюллетеню MS10-21 эксперты корпорации пишут, что данное обновление содержит механизм, предотвращающий установку в случае существования определенных нетипичных условий. По их данным, наличие таких условий может быть результатом заражения компьютерным вирусом, который модифицирует некоторые системные файлы и делает их несовместимыми с патчем для ядра. Аналогичная технология используется в обновленной версии февральского обновления за номером MS10-15, выпущенной в середине марта.

 

При попытке установки каждого из этих патчей на инфицированные машины, пользователь увидит код сообщения об ошибках (например, 0x8007F0F4), смысл которых расшифровывается здесь. Клиентам объясняют, что проблемы, вероятнее всего, возникли из-за того, что машина заражена вредоносным ПО.

 

Апрельский набор обновлений от Microsoft состоит из 11 патчей и обновленной версии утилиты Malicious Software Removal Tool. Идея разработчиков заключается в том, что эта программа должна удалить вредоносное приложение и очистить ПК, после чего безопасно установить необходимый патч по вторичному запросу.

 

© http://www.xakep.ru/post/51846/default.asp